FreeBuf 观察 | 网络安全行业政策法规(4 月)
码农的梦想
2024-05-11 09:00
为加强网络安全管理和保护工作,应对不断增长的网络安全挑战,2024 年 4 月,国内相关政府部门、机构协会相继发布了近十项针对网络安全行业的法规、条例和指南,涵盖了金融数据隐私、人工智能数据、网络监管和信息安全技术标准等方面,为行业发展提供了重要的法律依据和指导。
发布单位 | 法规指南标准 |
市场监管总局 | 《市场监督管理行政执法电子数据取证暂行规定》 |
| 全国网络安全标准化技术委员会 | 《网络安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》等 |
| 全国网络安全标准化技术委员会 | 《数据安全技术 政务数据处理安全要求(征求意见稿)》 |
上海市财政局 | 《关于进一步加强本市数据资产管理的通知》 |
| 全国网络安全标准化技术委员会 | 《网络安全技术 网络安全运维实施指南(征求意见稿)》 |
江苏省数据局 | 《江苏省数据条例(草案)》 (征求意见稿)》 |
| 全国网络安全标准化技术委员会 | 《网络安全技术 信息系统灾难恢复规范(征求意见稿)》 |
| 国家金融监督管理总局 | 《反保险欺诈工作办法(征求意见稿)》 |
1、市场监管总局印发《市场监督管理行政执法电子数据取证暂行规定》
市场监管总局根据《中华人民共和国行政处罚法》《中华人民共和国行政强制法》《市场监督管理行政处罚程序规定》等有关规定,制定并印发了《市场监督管理行政执法电子数据取证暂行规定》(以下简称《规定》)。
《规定》提出,电子数据是指与案件相关,以数字化形式存储、处理、传输,能够证明案件事实的信息,包括但不限于下列信息,文档、图片、音视频等电子文件及其属性信息;网页、博客、论坛等网络平台发布的信息;用户注册信息、身份认证信息、数字签名等用户身份信息;交易记录、浏览记录、操作记录等用户行为信息;源代码、工具软件、运行脚本等行为工具信息;系统日志、应用程序日志、安全日志等系统运行信息;在各类网络应用服务中存储的与案件相关的信息文件等。
对于取证过程的具体操作,《规定》同样做出明确要求,现场收集、提取电子数据,应当由两名以上具备行政执法资格的人员进行,必要时可以指派或者聘请有专门知识的人员辅助执法人员收集、提取电子数据。
此外,执法人员提取电子数据时,应当制作笔录,由执法人员、电子数据持有人(提供人)签名或者盖章。电子数据持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,执法人员应当在笔录中注明情况并采取录音、录像等方式记录,必要时可以邀请见证人现场见证。
2、《网络安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》等 4 项国家标准公开征求意见
应对人工智能技术应用数据训练带来的潜在安全风险,全国网络安全标准化技术委员会秘书处在 4 月 印发了《信息安全技术 数字水印技术实现指南(征求意见稿)》(以下简称《指南》)、《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》(以下简称《数据安全规范》)、《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)》(以下简称《标注安全规范》)、《信息安全技术 基于个人请求的个人信息转移要求)征求意见稿)》以下简称《要求》)。
《指南》提出了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方
面的建议,并给出了常见数字水印算法、典型安全场景等相关信息,适用于数字水印技术的设计、开发、应用和测试。
《数据安全规范》规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求,描述了对应的评价方法,适用于指导生成式人工智能服务提供者开展预训练和优化训练数据处理活动以及开展与训练预训练和优化训练数据安全自评价,也可为监管评估提供参考。
《数据安全规范》指出,生成式人工智能预训练和优化训练数据安全框架包括数据通用安全以及数据处理活动安全。数据通用安全主要包括分类分级、安全防护、安全检测、审计追溯、应急响应等。数据处理活动安全主要包括数据收集、数据预处理、数据使用等活动的安全。
《标注安全规范》规定了生成式人工智能训练的数据标注基础安全要求、数据标注规则安全要求、标注人员要求、数据标注核验要求和标注安全测试方法,适用于生成式人工智能数据标注方开展训练数据标注活动,也可为生成式人工智能数据需求方对于数据标注进行检查、验收或第三方机构对数据标注进行安全性评估提供参考。
《要求》规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求,适用于个人信息处理者响应个人信息主体转移信息请求的全流程,也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。
《信息安全技术 生成式人工智能预训练和优化训练数据安全规范》
3、网安标委印发《数据安全技术 政务数据处理安全要求(征求意见稿)》
4 月中旬,全国网络安全标准化技术委员会秘书处发布了《数据安全技术 政务数据处理安全要求(征求意见稿)》(以下简称要求),规定了政务数据处理的安全要求,明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求,适用于指导政务部门及其技术支撑单位规范政务数据处理活动,也可为监管部门、第三方机构进行监督管理和评估提供参考。
《要求》提出,政务数据处理安全要求框架由包括政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求在内的五个部分组成。
其中,《要求》在政务数据处理安全管理方面,从组织、制度和第三方服务等三个方面提出安全管理要求。在政务数据处理安全技术方面,针对数据收集、存储、使用、加工、传输、提供、公开、销毁等政务数据处理活动提出安全技术要求。在政务数据中的个人信息保护方面,从个人信息主体权利保障和个人信息安全保护方面提出相应的安全要求。在政务数据处理安全运营方面,提出数据安全合规评估与监测、政务数据处理安全评估、预警通报、应急处置、溯源分析和审计管理等安全要求。在政务数据处理安全监督方面,明确了合规检查、事件上报及投诉举报等安全要求。
4、上海市财政局发布关于进一步加强本市数据资产管理的通知
4 月份,为更好落实《关于加强数据资产管理的指导意见》和《关于加强行政事业单位数据资产管理的通知》两项财政部门的政策法规,上海市就贯彻落实财政部文件要求,发布了《关于进一步加强本市数据资产管理的通知》(以下简称《通知》),彰显出上海对数据资产管理的高度重视和积极探索的决心。
《通知要求》,上海市市各级部门、行政事业单位和有关单位应当进一步提高政治站位,充分认识加强数据资产管理的重要性,坚决贯彻落实党中央、国务院的决策部署,按照财政部相关文件要求,立足自身职能定位和管理范畴,结合实际情况,积极推进本部门、本单位有关数据资产管理工作,加强数据资产管理制度和机制的探索和创新,充分实现数据要素价值,更好发挥数据资产对推动数字经济发展、服务保障单位履职和事业发展的支撑作用。
《通知》指出,上海市各级部门、行政事业单位和有关单位应按照财政部《关于加强数据资产管理的指导意见》和《关于加强行政事业单位数据资产管理的通知》明确的工作要求,加快构建分类科学的数据资产产权体系,明晰各类数据资产的权责关系,落实管理责任,依法依规管理数据资产。
5、网安标委发布《网络安全技术 网络安全运维实施指南(征求意见稿)》
日前,全国网络安全标准化技术委员会秘书处发布了《网络安全技术 网络安全运维实施指南(征求意见稿)》(以下简称《指南》)。
《指南》提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型,给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容,适用于网络安全运维提供方、网络安全运维需求方。
《指南》不仅可为网络安全运维的实施提供指导,也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。
6、江苏省数据局发布《江苏省数据条例(草案)(征求意见稿)》
江苏省数据局在《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的背景下,结合江苏省实际发布了《江苏省数据条例(草案)》(征求意见稿)(以下简称《草案》),向社会各界广泛征求意见。
《草案》指出,公共数据是指本省各级国家机关、法律法规授权的具有管理公共事务职能的组织,以及供水、供电、供气、供热、通信、医疗、教育、文化旅游、体育、交通运输、环境保护等公共企业事业单位(以下统称公共管理和服务机构)为履行法定职责或者提供公共服务收集、产生的数据。根据本省应用需求,税务、海关、金融监督管理等中央国家机关派驻本省的机关或者派出机构提供的数据属于本条例所称公共数据。本条例所称企业数据,是指各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据。本条例所称个人信息数据,是指载有已识别或者可识别的自然人信息的数据,不包括匿名化处理后的数据。
《草案》提出,江苏省公共管理和服务机构应当依照法律、法规、规章和相关标准规范收集各类数据,相关自然人、法人和非法人组织应当予以配合,积极建立完善一体化的数据资源体系,加强公共数据资源供给,引导企业开放数据,在保护个人隐私前提下促进个人信息数据合理利用。
此外,《草案》着重强调,江苏省应该建立健全数据流通监管制度。其中,省数据安全工作协调机制应当按照国家规定,统筹协调有关行业主管部门制定重要数据目录,建立健全重要数据处理风险评估和报送机制,加强对重要数据的保护,县级以上地方人民政府及有关部门应当加强市场主体、数据交易场所、数据流通交易过程的监管,强化反垄断和反不正当竞争。
7、网安标委发布《网络安全技术 信息系统灾难恢复规范(征求意见稿)》
为指导各组织正确执行信息系统灾难恢复工作,全国网络安全标准化技术委员会秘书处印发了《网络安全技术 信息系统灾难恢复规范(征求意见稿)》(以下简称《规范》)。
《规范》确立了信息系统灾难恢复工作原则,提出了信息系统灾难恢复生命周期,规定了信息系统灾
难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法,适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划、实施、安全建设和运行管理等工作。
《规范》明确提出,灾难恢复生命周期包括规划设计、建设实施和运行管理,在全生命周期过程中应持续进行有效性分析和安全管控,以实现持续改进,灾难恢复目标是通过有效的技术与管理手段,确保组织在灾难发生时迅速恢复信息系统运行,最大限度地降低损失和影响,保障数据的完整性和可用性,保障业务的连续性。
其中,组织信息系统的灾难恢复工作,包括灾难恢复中心和灾难恢复系统的规划设计、建设实施工作,以及日常运行中的预案管理、运行维护、监控、巡检工作,还涉及应急响应及灾难接管、重建和回退、审计相关工作。组织的信息系统灾难恢复机构应对整个生命周期灾难恢复过程中的资源配置、技术服务过程与过程管理等方面进行合规性、有效性分析,以确保业务的正常开展。灾难恢复工作是一个周而复始、持续改进的过程。
8、金融监管总局发布《反保险欺诈工作办法(征求意见稿)》
为防范和化解保险欺诈风险,提升保险行业全面风险管理能力,保护保险活动当事人合法权益,维护市场秩序,促进行业高质量发展,国家金融监督管理总局根据《中华人民共和国保险法》《中华人民共和国刑法》等法律法规,结合行业发展现状,起草了《反保险欺诈工作办法(征求意见稿)》(以下简称《办法》),现向社会公开征求意见。
《办法》提出,反欺诈工作目标是建立“监管引领、机构为主、行业联防、各方协同”四位一体的工作体系,反欺诈体制机制基本健全,欺诈违法犯罪势头有效遏制,行业欺诈风险防范化解能力显著提升,消费者反欺诈意识明显增强。此外,保险机构应建立起全流程欺诈风险管理体系,逐步健全事前多方预警、事中智能管控、事后回溯管理的工作流程。
金融反欺诈监督管理方面,《办法》第七条和第八条强调,金融监管总局及其派出机构应建立反欺诈监管框架,健全反欺诈监管制度,加强对保险机构和行业组织反欺诈工作指导,推动与公安司法机关、相关行业主管部门及地方政府职能部门的沟通协作和信息交流,加强反欺诈跨境合作。此外,国家金融监督管理总局及其派出机构依法对欺诈风险管理工作实施监管。
金融监管总局及其派出机构应指导保险机构开展以下工作:
(一)建立健全欺诈风险管理体系;
(二)防范和应对欺诈风险;
(三)参与反欺诈行业协作;
(四)开展反欺诈宣传教育。
此外,《办法》还要求,建立完善的监管体系后,金融监管总局及其派出机构定期对保险机构欺诈风险管理体系的健全性和有效性进行检查和评价,其中主要围绕对反欺诈监管规定的执行情况;内部欺诈风险管理制度的制定情况;欺诈风险管理组织架构的建立和人员履职情况;欺诈风险管理流程的完备性、可操作性和运行情况;反欺诈信息系统的建设和运行情况;反欺诈协作情况;欺诈风险和案件处置情况;反欺诈培训和宣传教育情况;网络安全、数据安全和个人信息保护情况进行评估和检查。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
